Microsoft lanserade ett nytt AI-bug-bounty-program förra veckan som kommer att belöna säkerhetsforskare från hela världen för att de upptäckt sårbarheter i de nya, innovativa, AI-drivna Bing-produkterna och apparna.
Det är en del av företagets pågående ansträngningar att skydda sina kunders integritet och data från säkerhetshot.
Microsoft lanserar Bing AI Bug Bounty Program
“Vi växer, itererar och utvecklar ständigt våra bounty-program för att hjälpa Microsoft-kunder att ligga steget före i det ständigt föränderliga säkerhetslandskapet och framväxande teknologier.” säger Lynn Miyashita, MSRC Bug Bounty Community-baserad försvarssäkerhet.
“Det nya Microsoft AI bounty-programmet kommer som ett resultat av viktiga investeringar och lärdomar under de senaste månaderna, inklusive en AI-säkerhetsforskningsutmaning och en uppdatering av Microsofts sårbarhetsklassificering för AI-system.”
Enligt Redmond-jätten är alla sårbarheter i de AI-drivna Bing-upplevelserna på bing.com i webbläsaren, inklusive Bing Chat, Bing Chat for Enterprise och Bing Image Creator, inom ramen för det nya bounty-programmet.
Dessutom är AI-drivna Bing-integrationer som är berättigade till bounty-utmärkelser Microsoft Edge (Windows), inklusive Bing Chat for Enterprise, Microsoft Start Application (iOS och Android) och Skype Mobile Application (iOS och Android).
Microsoft säger att alla säkerhetsforskare över hela världen, oavsett tidigare erfarenhet eller plats, kan delta i detta program för buggstöd. Forskare kan skicka in sina resultat genom Microsoft Security Research Center (MSRC) portal i avsnittet “Bing” och inkludera konversations-ID:t och beskriv attackvektorn.
Företaget kan acceptera eller avvisa varje inlämning efter eget gottfinnande som det bedömer inte uppfyller ovanstående kriterier.
För att vara berättigade till prisutdelningar måste Bing-användare informera Microsoft om en tidigare okänd sårbarhet, som enligt företagets kriterier är antingen “Kritisk” eller “Viktig” för säkerheten. De måste också innehålla tydliga, koncisa och reproducerbara steg, antingen skriftligt eller i videoformat, om hur man återskapar problemet på den senaste, fullständigt korrigerade versionen av produkten eller tjänsten.
Microsoft letar efter sårbarheter som uppfyller följande definitioner:
- Påverka och förändra Bings chatbeteende över användargränserna, dvs ändra AI på ett sätt som påverkar alla andra användare.
- Ändra Bings chatbeteende genom att justera klient- och/eller serverns synliga konfiguration, som att ställa in felsökningsflaggor, ändra funktionsflaggor, etc.
- Bryter Bings skydd för korskonversationsminne och radering av historik.
- Avslöja Bings interna arbete och uppmaningar, beslutsprocesser och konfidentiell information.
- Går förbi Bings chattlägesgränser och/eller begränsningar/regler.
Det nya programmet kommer att erbjuda bounty-belöningar från $2 000 till $15 000 för kvalificerade bidrag, med de högsta belöningarna reserverade för svårighetsgraden och konsekvenserna av sårbarheten i dess AI-drivna “Bing-upplevelse” såväl som för inlämningens kvalitet. Kvalificerade bidrag kommer att tilldelas det enskilt högsta kvalificerande priset.
“Microsoft AI bounty-programmets omfattning är begränsad till tekniska sårbarheter i de AI-drivna Bing-upplevelserna i de identifierade produkterna och tjänsterna. Om du upptäcker kunddata när du utför din undersökning, eller är oklart om det är säkert att fortsätta, vänligen sluta och kontakta oss på [email protected]”, konstaterar Lynn.
Du kan kolla in programmets sida för mer information om det nya AI-drivna Bing bug bounty-programmet.